Hitach Incident Response Team

 2014年8月31日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PHP 5.6.0リリース(2014/08/28)

 PHP 5.6.0では、PHP 5.5.9~5.5.16、PHP 5.4.26~5.4.32、PHP 5.3.29で解決された脆弱性24件に対応しています。また、スカラコンテキストを使えるようにするConstant scalar expressions、キーワードによる関数や定数をインポートする機能、統合型デバッガモジュールphpdbgの搭載、php://inputの復活などの機能改善が施されています。その一方で、json_decode関数によるJSON構文解析の厳密化、SSL/TLS使用時の証明書とホスト名による検査など、互換性に影響を与える変更も加えられています。

Squid 3.4.7、Squid 3.3.13リリース(2013/08/28)

 Squid 3.4.7、Squid 3.3.13では、HTTP要求の処理に存在する脆弱性(CVE-2014-3609)を解決しています。脆弱性は、HTTP要求のRangeヘッダーに格納される値に関するもので、サービス拒否攻撃を許してしまいます。影響を受けるバージョンは、Squid 3.x~3.3.12、Squid 3.4~3.4.6です。

Red Hat Enterprise Linux Server(v.6)(2014/08/19)

 glibcと仮想化環境を提供するqemu-kvmのセキュリティアップデート(RHSA-2014:1110、RHSA-2014:1075)がリリースされました。

 glibcでは、off-by-one型のヒープバッファオーバーフローの脆弱性(CVE-2014-5119)とディレクトリートラバーサルの脆弱性(CVE-2014-0475)を解決しています。qemu-kvmでは、QEMUブロックドライバーに存在する2件の整数オーバーフロー問題(CVE-2014-0222、CVE-2014-0223)を解決しています。いずれの問題も、任意のコード実行を許してしまうものです。